El viernes 27 de enero de 2012 tuvo lugar la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos. Si las jornadas de los últimos dos años tuvieron por protagonistas a la Videovigilancia y a la Administración Electrónica, esta vez le tocó el turno al alojamiento de datos personales en La Nube.
¿Qué supone el alojamiento en La Nube desde el punto de vista de la protección de datos y en qué se diferencia de los servicios de hosting tradicionales?
Desde el punto de vista legal, realmente no hay diferencias entre contratar un servicio de alojamiento de datos personales en La Nube y en un hosting que no utilice esta tecnología.
En ambos casos, se trata de una prestación de servicios con acceso a datos personales. Sin embargo, el alojamiento en La Nube y la deslocalización de la información supondrá, en muchos casos, que existan subcontrataciones y alojamientos de la información en terceros países ajenos al Espacio Económico Europeo, y a menudo sin que el cliente esté al tanto de ello.
Unas pocas semanas antes de la sesión abierta de este año, la Agencia lanzó una consulta pública para tomarle el pulso a las empresas españolas. Muchas de las preguntas del cuestionario iban dirigidas a determinar si el marco regulatorio actual es capaz de dar respuesta a esta nueva tecnología que ha venido para quedarse, y seguramente seguirá evolucionando hasta situaciones aún inimaginables.
La respuesta es evidente. La aplicación estricta de la normativa es prácticamente incompatible con el uso de esta tecnología. ¿Por qué?
- Al alojar datos de carácter personal, responsabilidad de una empresa española, surge la obligación de tener un contrato firmado conforme al artículo 12 de la Ley Orgánica de Protección de Datos, y a los artículos 20, 21, 22 y 26 de su Reglamento de Desarrollo (o conforme al clausulado tipo aprobado por Decisión 2010/87/UE de la Comisión, si el prestador está ubicado fuera del Espacio Económico Europeo, de los países con nivel adecuado de protección, o de las empresas estadounidenses adheridas al tratado de Puerto Seguro).
A nadie se le escapa que los servicios de alojamiento en La Nube acaban siendo prestados, directa o indirectamente, por los gigantes de Internet, que imponen sus contratos de adhesión con todo tipo de Disclaimers a su favor ¿Y cuál es la capacidad negociadora de una empresa española con estos proveedores? Ninguna, y la respuesta de la Agencia en la sesión fue tajante: Si se desea contratar un servicio de alojamiento de datos personales en La Nube, y el contrato de adhesión no cumple con la Ley Orgánica de Protección de Datos, la empresa española no podrá contratar el servicio.
- Entre las obligaciones del artículo 12 de la LOPD, está la de especificar las medidas de seguridad aplicables, conforme a lo establecido en el Reglamento.
Por la propia naturaleza del servicio de alojamiento, el proveedor definirá las medidas de seguridad que estime adecuadas, pero no es factible que se apliquen unas medidas u otras dependiendo de las necesidades del cliente. Es decir, no van a entrar en ningún momento a discutir si deben aplicar un nivel de seguridad más estricto dependiendo de la sensibilidad de los datos personales que quiera alojar su cliente. Por lo tanto, lo más lógico sería que las medidas de seguridad por defecto cumpliesen con el nivel alto de seguridad, pero es muy improbable que los proveedores implanten exactamente las medidas de seguridad exigidas por el Reglamento.
En todo caso, la respuesta de la Agencia sobre este asunto, ha sido algo más razonable de lo que cabía esperar. Bastará con que se especifiquen las medidas de seguridad reales que aplican el servicio, siempre que éstas garanticen un nivel más o menos equivalente a lo exigido por la normativa. Es decir, se admite que no se cumplan concretamente las medidas de seguridad definidas en el Reglamento, siempre que se implanten medidas alternativas que garanticen la confidencialidad, integridad y disponibilidad de la información. En especial, se destaca la importancia de la auditoría de seguridad para garantizar que las medidas son las adecuadas.
- Estos servicios suelen configurarse a través de una compleja estructura de subcontrataciones o incluso de reventa del servicio, por lo que, aunque se firme con una empresa española, o europea, el servicio se presta de forma efectiva en otros países. Para que esta estructura sea legal, el cliente debería autorizar expresamente al proveedor para que pueda subcontratar legalmente la prestación del servicio, y en el caso de que la subcontratación implique una transferencia internacional, es necesario dotar el servicio de todas las garantías exigidas por la normativa.
Como novedad, la Agencia ha decidido flexibilizar el criterio que había mantenido anteriormente para la subcontratación con transferencia internacional. Hasta la fecha, era el propio cliente, responsable de un fichero quien debía firmar los contratos y solicitar a la Agencia la autorización para la transferencia internacional (ya fuese por sí mismo, o a través de un poder de representación a favor del proveedor). Es decir, en general, si un cliente contrataba un servicio con un proveedor español, y este quería subcontratar con una empresa de Marruecos, era necesario que el cliente firmase directamente (o por representación) con la empresa de Marruecos, y solicitase la autorización del Director de la Agencia.
La Agencia se ha replanteado este criterio, y ha elaborado un clausulado tipo para permitir que los proveedores (encargados del tratamiento) puedan ser exportadores de datos personales. Sin embargo, esto no deja de ser una transferencia de la responsabilidad de algo que en muchas ocasiones no se va a poder cumplir (por lo que veíamos en el primer punto).
Dejando de lado el tema del alojamiento en La Nube, surgieron algunos otros temas de interés:
- Se procedió a la entrega de los premios protección de datos 2011.
- Expectación sobre decisión del Tribunal Supremo con respecto a la resolución del Tribunal de Justicia de la Unión Europea, por la que España habría transpuesto incorrectamente la Directiva de Protección de Datos; en concreto, en lo referente al uso de datos personales sin necesidad de consentimiento de los afectados.
- Expectación sobre la inminente modificación de la normativa europea de Protección de Datos.
- Abandono del criterio de la sanción mínima en cada escala de infracción. Tradicionalmente, la Agencia siempre ha ido imponiendo las sanciones mínimas dentro de la escala correspondiente en cada caso (actualmente, 900 euros para las infracciones leves; 40.000 euros para las graves; y 300.000 euros para las muy graves). La Agencia ya ha avisado de que este criterio va a dejar de aplicarse, lo que dará mayor peso a las circunstancias agravantes en cada situación conforme al régimen sancionador actual.
- Contra el criterio habitual de la Agencia, en la presentación se admitía como válida la posibilidad de redirigir a una página web para cumplir con el deber de información. No obstante, todo parece apuntar a que se trata de una errata, o de una verdad a medias, pues los fundamentos de la mayoría de las resoluciones, justifican que esto no se puede hacer, ya que el acceso a Internet en España, apenas roza el 50% de implantación.
Al igual que en años anteriores, toda la documentación de la jornada se publicará en los próximos días a través de la página web de la Agencia (www.agpd.es).
Por el momento nos tenemos que conformar con este vídeo de sensibilización, que consiguió dibujar más de una sonrisa.
Áudea Seguridad de la Información
José Carlos Moratilla
Departamento Derecho TIC
www.audea.com